Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en la propiedad URL de un archivo en Alfresco Enterprise y Alfresco Community (CVE-2020-8776)
Fecha de publicación:
02/03/2020
Idioma:
Español
Alfresco Enterprise versiones anteriores a.2.7 y Alfresco Community versiones anteriores a 6.2.0 (rb65251d6-b368), presentan una vulnerabilidad de tipo XSS por medio de la propiedad URL de un archivo.
Gravedad CVSS v3.1: MEDIA
Última modificación:
24/05/2022

Vulnerabilidad en un documento cargado en Alfresco Enterprise y Alfresco Community (CVE-2020-8778)
Fecha de publicación:
02/03/2020
Idioma:
Español
Alfresco Enterprise versiones anteriores a 5.2.7 y Alfresco Community versiones anteriores a 6.2.0 (rb65251d6-b368), presentan una vulnerabilidad de tipo XSS por medio de un documento cargado, cuando el atacante posee acceso de escritura a un proyecto.
Gravedad CVSS v3.1: MEDIA
Última modificación:
24/05/2022

Vulnerabilidad en la interfaz file upload en el componente web conferencing de la aplicación Mitel MiCollab para Android (CVE-2019-19370)
Fecha de publicación:
02/03/2020
Idioma:
Español
Una vulnerabilidad de tipo cross-site scripting (XSS) en el componente web conferencing de la aplicación Mitel MiCollab versiones anteriores a 9.0.15 para Android, podría permitir a un atacante no autenticado conducir un ataque de tipo cross-site scripting (XSS) reflejado debido a una comprobación insuficiente en la interfaz file upload. Una explotación con éxito podría permitir a un atacante ejecutar scripts arbitrarios.
Gravedad CVSS v3.1: MEDIA
Última modificación:
04/03/2020

Vulnerabilidad en la interfaz join meeting en el componente web conferencing de Mitel MiCollab AWV (CVE-2019-19371)
Fecha de publicación:
02/03/2020
Idioma:
Español
Una vulnerabilidad de tipo cross-site scripting (XSS) en el componente web conferencing de Mitel MiCollab AWV versiones anteriores a 8.1.2.2, podría permitir a un atacante no autenticado conducir un ataque de tipo cross-site scripting (XSS) reflejado debido a una comprobación insuficiente en la interfaz join meeting. Una explotación con éxito podría permitir a un atacante ejecutar scripts arbitrarios.
Gravedad CVSS v3.1: MEDIA
Última modificación:
04/03/2020

Vulnerabilidad en el parámetro session en el componente web conferencing de Mitel MiCollab AWV (CVE-2019-19607)
Fecha de publicación:
02/03/2020
Idioma:
Español
Una vulnerabilidad de inyección SQL en el componente web conferencing de Mitel MiCollab AWV versiones anteriores a 8.1.2.2, podría permitir un ataque no autenticado debido a una comprobación de entrada insuficiente en el parámetro session. Una explotación con éxito podría permitir a un atacante extraer información confidencial de la base de datos y ejecutar scripts arbitrarios.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
04/03/2020

Vulnerabilidad en la página registerList.cgi en el componente web conferencing de Mitel MiCollab AWV (CVE-2019-19608)
Fecha de publicación:
02/03/2020
Idioma:
Español
Una vulnerabilidad de inyección SQL en el componente web conferencing de Mitel MiCollab AWV versiones anteriores a 8.1.2.2, podría permitir un ataque no autenticado debido a una comprobación de entrada insuficiente en la página registerList.cgi. Una explotación con éxito podría permitir a un atacante extraer información confidencial de la base de datos y ejecutar scripts arbitrarios.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
04/03/2020

Vulnerabilidad en longitud de clave en la implementación de la clave de 128 bits de SRTP en los teléfonos SIP Mitel de la serie 6800 y 6900 (CVE-2019-18863)
Fecha de publicación:
02/03/2020
Idioma:
Español
Una vulnerabilidad de longitud de clave en la implementación de la clave de 128 bits de SRTP en los teléfonos SIP Mitel de la serie 6800 y 6900, versiones anteriores a 5.1.0.2051 SP2, podría permitir a un atacante iniciar un ataque de tipo man-in-the-middle cuando SRTP es usado en una llamada. Una explotación con éxito puede permitir a un atacante interceptar información confidencial.
Gravedad CVSS v3.1: MEDIA
Última modificación:
21/07/2021

Vulnerabilidad en una contraseña de administrador aleatoria en el operador Keycloak (CVE-2020-1731)
Fecha de publicación:
02/03/2020
Idioma:
Español
Se encontró un fallo en todas las versiones del operador Keycloak, versiones anteriores a 8.0.2, (solo de la comunidad) donde el operador genera una contraseña de administrador aleatoria al instalar Keycloak, sin embargo, la contraseña permanece igual cuando se implementa en el mismo espacio de nombres OpenShift.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
07/11/2023

Vulnerabilidad en los permisos en binarios en chkstat de SUSE Linux Enterprise Server (CVE-2020-8013)
Fecha de publicación:
02/03/2020
Idioma:
Español
Una vulnerabilidad de tipo UNIX Symbolic Link (Symlink) Following en chkstat de SUSE Linux Enterprise Server 12, SUSE Linux Enterprise Server 15, SUSE Linux Enterprise Server 11 establece permisos previstos para binarios específicos en otros binarios porque seguía erróneamente enlaces simbólicos. Los atacantes no pueden controlar los enlaces simbólicos en los sistemas predeterminados, por lo que la explotación es difícil. Este problema afecta: Los permisos de SUSE Linux Enterprise Server 12 versiones anteriores a 2015.09.28.1626-17.27.1. Los permisos de SUSE Linux Enterprise Server 15 versiones anteriores a 20181116-9.23.1. Los permisos de SUSE Linux Enterprise Server 11 versiones anteriores a 2013.1.7-0.6.12.1.
Gravedad CVSS v3.1: BAJA
Última modificación:
08/12/2022

Vulnerabilidad en wicked de SUSE Linux Enterprise Server 12, SUSE Linux Enterprise Server 15; openSUSE Leap 15.1, y Factory (CVE-2019-18903)
Fecha de publicación:
02/03/2020
Idioma:
Español
Una vulnerabilidad de Uso de la Memoria Previamente Liberada, en wicked de SUSE Linux Enterprise Server 12, SUSE Linux Enterprise Server 15; openSUSE Leap 15.1, y Factory, permite a atacantes remotos causar una DoS o potencialmente una ejecución de código. Este problema afecta: wicked de SUSE Linux Enterprise Server 12 versiones anteriores a 0.6.60-2.18.1. wicked de SUSE Linux Enterprise Server 15 versiones anteriores a 0.6.60-28.26.1. wicked de openSUSE Leap versiones 15.1 anteriores a 0.6.60-lp151.2.9.1. wicked de openSUSE Factory versiones anteriores a 0.6.62.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
04/03/2020

Vulnerabilidad en wicked de SUSE Linux Enterprise Server 12, SUSE Linux Enterprise Server 15; openSUSE Leap 15.1, y Factory (CVE-2019-18902)
Fecha de publicación:
02/03/2020
Idioma:
Español
Una vulnerabilidad de Uso de la Memoria Previamente Liberada en wicked de SUSE Linux Enterprise Server 12, SUSE Linux Enterprise Server 15; openSUSE Leap 15.1, y Factory, permite a atacantes remotos causar DoS o potencialmente una ejecución de código. Este problema afecta: wicked de SUSE Linux Enterprise Server 12 versiones anteriores a 0.6.60-3.5.1. wicked de SUSE Linux Enterprise Server 15 versiones anteriores a 0.6.60-3.21.1. wicked de openSUSE Leap 15.1 versiones anteriores a 0.6.60-lp151.2.6.1. wicked de openSUSE Factory versiones anteriores a 0.6.62.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
04/03/2020

Vulnerabilidad en las clases JNDI de commons-configuration 1 y 2 en jackson-databind (CVE-2019-14892)
Fecha de publicación:
02/03/2020
Idioma:
Español
Se detectó un fallo en jackson-databind en las versiones anteriores a 2.9.10, 2.8.11.5 y 2.6.7.3, donde permitiría una deserialización polimórfica de un objeto malicioso utilizando las clases JNDI de commons-configuration 1 y 2. Un atacante podría usar este fallo para ejecutar código arbitrario.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
07/11/2023
Suscribirse a Vulnerabilidades